図1には、本発明の実施形態に係る情報処理システムとしての医療情報管理システムの一例が示されている。医療情報管理システムは、例えば、情報処理装置としての医療情報管理装置10と端末装置12,14とを含む。医療情報管理装置10と端末装置12,14は、ネットワーク等の通信経路Nに接続されている。
医療情報管理装置10は、医療情報としての文書データを管理し、要求に応じて文書データを提供する機能を備えている。医療情報は、例えば、電子化された医療カルテ(電子カルテ)、医療機関の紹介状を示す情報、医療画像(例えばX線CT画像やレントゲン画像等)、医療費明細書を示す情報、等である。例えば、電子カルテのデータ、紹介状のデータ、医療画像データ、医療費明細書のデータ等が、文書データとして管理される。また、医療カルテ、紹介状、医療費明細書等が用紙によって作成されている場合、その用紙上の画像がスキャナによって読み取られ、これによって生成された文書データ(画像データ)が管理されてもよい。
端末装置12,14は、例えば、PC(パーソナルコンピュータ)、タブレットPC、スマートフォン、携帯電話等の装置であり、他の装置との間でデータを送受信する機能を備えている。端末装置12,14は、例えば、大学病院、診療所、クリニック、個人病院、等の医療機関に設置されている。端末装置12は、例えば、文書データの公開元において利用される装置であり、端末装置14は、文書データの公開先において利用される装置である。図1には、3つの端末装置12と3つの端末装置14が通信経路Nに接続されているが、これは一例に過ぎない。1つの端末装置12と1つの端末装置14が通信経路Nに接続されていてもよいし、2つ以上の端末装置12と2つ以上の端末装置14が通信経路Nに接続されていてもよい。
本実施形態に係る医療情報管理システムにおいては、医師等のユーザが端末装置12を利用して、公開対象の文書データと当該文書データの公開先を指定する。医療情報管理装置10は、その指定に応じて、当該文書データへのアクセスを制御するためのアクセス制御情報を作成する。また、医師等のユーザが端末装置14を利用して文書データへのアクセスを要求した場合、医療情報管理装置10は、アクセス制御情報を利用して、文書データへのアクセスを制御する。
以下、図2を参照して、医療情報管理装置10の構成について詳しく説明する。図2には、医療情報管理装置10の構成が示されている。
通信部16は通信インターフェースであり、他の装置にデータを送信する機能、及び、他の装置からデータを受信する機能を備えている。
医療情報DB(医療情報データベース)18はハードディスク等の記憶装置である。医療情報DB18には、医療情報としての文書データが記憶されている。文書データには、当該文書データを管理するための文書管理情報が対応付けられている。文書管理情報は、例えば、文書データを識別するための文書識別情報(例えば文書ID)、文書データの版を示す情報(例えば版番号)、文書の種別を示す文書種別情報(例えば文書種別コード)、文書のタイトルを示す情報、文書データの作成日を示す情報、等を含む。また、文書データには、患者情報が対応付けられている。患者情報は、例えば、患者を識別するための患者識別情報(例えば氏名や患者ID)、患者の性別を示す情報、患者の生年月日を示す情報、患者の年齢を示す情報、等を含む。例えば、電子カルテ等の文書データが作成される度に、当該文書データが医療情報DB18に記憶される。医療情報DBに記憶されている文書データは、例えば、公開元において共有される。つまり、医療情報DBに記憶されている文書データは、端末装置12からのアクセスが許可されたデータである。
また、医療情報DB18には、医療情報管理システムに登録されている医療機関に関する医療機関情報が記憶されている。その医療機関は、文書データの公開先候補の医療機関である。医療機関情報は、例えば、医療機関を識別するための医療機関識別情報(例えば施設名や施設ID)等を含む。なお、医療機関情報は、他の記憶装置に記憶されていてもよい。
なお、医療情報DB18は、医療情報管理装置10に設けられておらず、通信経路Nに接続された他の装置に設けられていてもよい。
アクセス制御情報作成部20は、公開対象の文書データへのアクセス制御を示すアクセス制御情報であって、文書データの公開元のグループ毎に異なるアクセス制御情報を作成する機能を備えている。アクセス制御情報作成部20は、例えば、文書データ毎にアクセス制御情報を作成する。1つの文書データに対して1つのアクセス制御情報が作成される場合もあれば、1つの文書データに対して複数のアクセス制御情報が作成される場合がある。例えば、ある文書データについて、1つの公開元のグループによってアクセス制御が設定された場合、その文書データに対して1つのアクセス制御情報が作成される。一方、ある文書データについて、複数の公開元のグループによってアクセス制御が設定された場合、その文書データに対して複数のアクセス制御情報が作成される。この場合、公開元のグループ毎にアクセス制御情報が作成され、その結果、公開元のグループの数と同じ数のアクセス制御情報が作成される。
アクセス制御情報は、例えば、公開元のグループに関する公開元情報、公開対象の文書データについての文書管理情報、当該文書データに対応付けられている患者情報、及び、公開先に関する公開先情報、を含む。公開元のグループと公開先は、例えば、医療機関、医療機関における診療科、都道府県や市町村等のエリア、等である。
公開元情報は、例えば、公開元のグループを識別するための公開元識別情報(例えば公開元名や公開元ID)、公開設定者を識別するための公開設定者識別情報(例えば公開元氏名や公開元ユーザID)、等を含む。公開元のグループの単位が、病院、診療所、クリニック等の医療機関の場合、公開元情報には、公開元識別情報として、その医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)が含まれる。公開元のグループの単位が診療科の場合、公開元情報には、公開元識別情報として、その診療科が属する医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)と、その診療科を識別するための診療科識別情報(例えば診療科名や診療科ID)と、が含まれる。公開元のグループの単位がエリアの場合、公開元情報には、公開元識別情報として、そのエリアを識別するためのエリア識別情報(例えばエリア名やエリアID)が含まれる。公開元情報は、例えば、公開処理時に、公開元のグループによって利用される端末装置12から医療情報管理装置10に送信されてもよいし、医療情報管理装置10の医療情報DB18に予め記憶されていてもよい。
公開先情報は、例えば、公開先を識別するための公開先識別情報(例えば公開先名や公開先ID)等を含む。公開先の単位が、病院、診療所、クリニック等の医療機関の場合、公開先情報には、公開先識別情報として、その医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)が含まれる。公開先の単位が診療科の場合、公開先情報には、公開先識別情報として、その診療科が属する医療機関を識別するための医療機関識別情報(例えば医療機関名や医療機関ID)と、その診療科を識別するための診療科識別情報(例えば診療科名や診療科ID)と、が含まれる。公開先の単位がエリアの場合、公開先情報には、公開先識別情報として、そのエリアを識別するためのエリア識別情報(例えばエリア名やエリアID)が含まれる。公開先情報は、公開先から医療情報管理装置10に予め送信され、医療情報管理装置10の医療情報DB18に予め記憶されている。例えば、公開先の医療機関や診療科を医療情報管理システムに登録するときに、公開先情報が公開先から医療情報管理装置10に送信されて記憶される。
例えば、公開元のグループにおいて医師等のユーザが端末装置12を利用して、公開対象の文書データと当該文書データの公開先を指定すると、アクセス制御情報作成部20は、その指定に応じて、当該文書データへのアクセスを制御するためのアクセス制御情報を作成する。
上述したように、アクセス制御情報は、患者情報と公開元情報とを含む。アクセス制御情報作成部20は、アクセス制御情報に含まれる公開元情報が示すグループによる当該アクセス制御情報の変更を許可し、当該公開元情報が示すグループ以外のグループによる当該アクセス制御情報の変更を禁止する。例えば、アクセス制御情報に含まれる公開元情報に、診療科Aを示す診療科識別情報が含まれている場合、診療科Aに属する医師による当該アクセス制御情報の変更が許可され、診療科A以外の診療科に属する医師による当該アクセス制御情報の変更が禁止される。例えば、医師等のユーザが端末装置12を利用して患者情報と公開元情報とを入力してアクセス制御情報へのアクセスを要求した場合、アクセス制御情報作成部20は、入力された患者情報と公開元情報とを含むアクセス制御情報へのアクセスを許可し、そのアクセス制御情報の変更を許可する。一方、アクセス制御情報作成部20は、入力された患者情報と公開元情報とを含まないアクセス制御情報へのアクセスを禁止し、そのアクセス制御情報の変更を禁止する。このように、アクセス制御情報はグループ毎に個別的に管理される。
公開処理部22は、公開対象の文書データと当該文書データについてのアクセス制御情報とを対応付けて登録する機能を備えている。文書データとアクセス制御情報とは対応付けられて、公開情報DB(公開情報データベース)24に記憶される。
公開情報DB24はハードディスク等の記憶装置である。公開情報DB24には、公開対象の文書データと当該文書データについてのアクセス制御情報とが対応付けられて記憶される。
制御部26は、医療情報管理装置10の各部の動作を制御する機能を備えている。また、制御部26は、アクセス制御部28を備えている。
アクセス制御部28は、アクセス制御情報を用いて文書データへのアクセスを制御する機能を備えている。例えば、医師等のユーザが端末装置14を利用して文書データへのアクセスを要求した場合、アクセス制御部28は、アクセス要求の対象となっている文書データに対応付けられているアクセス制御情報を用いて、当該文書データへのアクセスを制御する。そのアクセス要求が公開先からのアクセス要求である場合、当該文書データへのアクセスは許可される。一方、そのアクセス要求が公開先からのアクセス要求ではない場合、当該文書データへのアクセスは禁止される。
以下、図3を参照して、端末装置12,14の構成について詳しく説明する。図3には、端末装置12の構成が示されている。端末装置14は端末装置12と同じ構成を備えている。通信部30は通信インターフェースであり、他の装置にデータを送信する機能、及び、他の装置からデータを受信する機能を備えている。記憶部32はハードディスク等の記憶装置である。UI部34はユーザインターフェースであり、表示部と操作部とを含む。表示部は、例えば液晶ディスプレイ等の表示装置である。操作部は、例えばタッチパネルやキーボード等の入力装置である。制御部36は、端末装置12の各部の動作を制御する。
以下、図4を参照して、医療情報管理システムにおける処理の概略について説明する。図4には、その処理の概略を説明するための図が示されている。
端末装置12A,12B,12Cは、端末装置12の一例であり、例えば公開元の医療機関(例えば大学病院)において利用される端末装置である。循環器内科と老年高血圧内科は、大学病院における診療科の一例であり、公開元のグループの一例に相当する。端末装置12A,12Bは、大学病院における循環器内科において利用される端末装置であり、端末装置12Cは、同一の大学病院における老年高血圧内科において利用される端末装置である。
端末装置14Y,14T,14Wは、端末装置14の一例であり、公開先の医療機関において利用される端末装置である。より具体的には、端末装置14Yは、医療機関としてのXクリニックにて利用される端末装置であり、端末装置14Tは、医療機関としてのS診療所にて利用される端末装置であり、端末装置14Wは、医療機関としてのVクリニックにて利用される端末装置である。Xクリニック、S診療所及びVクリニックについての公開先情報(医療機関情報)は、予め医療情報管理装置10の医療情報DB18に記憶されている。
例えば患者Pに対して診療等が施され、文書データ(医療情報)として、心臓CT画像38、手術記録情報40、退院時要約情報42及び検体検査報告書44が作成されたものとする。心臓CT画像38、手術記録情報40、退院時要約情報42及び検体検査報告書44は、患者Pの患者情報に対応付けられて医療情報DB18に記憶される。これらの文書データは、例えば大学病院において共有されるデータであり、端末装置12A,12B,12Cからのアクセスが許可されたデータである。
心臓CT画像38、手術記録情報40及び退院時要約情報42は、公開文書グループ46に属する文書データであり、退院時要約情報42及び検体検査報告書44は、公開文書グループ48に属する文書データである。
公開文書グループ46に属する文書データは、循環器内科に属する医師A,Bによって、公開文書データとして指定されたデータである。公開文書グループ48に属する文書データは、老年高血圧内科に属する医師Cによって、公開文書データとして指定された文書データである。図4に示す例では、退院時要約情報42が、公開文書グループ46と公開文書グループ48の両方に属している。つまり、退院時要約情報42は、循環器内科の医師と老年高血圧内科の医師の両方によって、公開対象の文書データとして指定されている。
循環器内科に属する医師A,Bによって、公開先の医療機関として、XクリニックとS診療所が指定されている。それ故、公開文書グループ46に属する文書データは、Xクリニック(端末装置14Y)とS診療所(端末装置14T)からのアクセスが許可されたデータである。
また、老年高血圧内科に属する医師Cによって、公開先の医療機関として、Vクリニックが指定されている。それ故、公開文書グループ48に属する文書データは、Vクリニック(端末装置14W)からのアクセスが許可されたデータである。
以上のように、公開元の診療科と、公開対象の文書データと、公開先の医療機関と、が対応付けられ、公開元の診療科毎に、公開対象の文書データと公開先の医療機関とが個別に設定される。
以下、医療情報管理装置10について更に詳しく説明する。
図5を参照して、医療情報管理システムに登録されている医療機関の一例について説明する。図5には、医療機関管理テーブルの一例が示されている。この医療機関管理テーブルは医療機関情報の一例であり、そのデータは例えば予め作成されて医療情報DB18に記憶される。公開元の診療科は、文書データの公開元のグループの一例である。公開元の診療科として、一例として、循環器内科と老年高血圧内科が登録されている。この循環器内科と老年高血圧内科は、例えば、同一大学病院における診療科である。公開先候補の医療機関は、文書データの公開先候補の医療機関である。公開先候補の医療機関として、一例として、Xクリニック、S診療所、Zハートクリニック及びVクリニックが予め登録されている。図5に示す例では、循環器内科と、Xクリニック、S診療所及びZハートクリニックと、が対応付けられており、老年高血圧内科とVクリニックとが対応付けられている。つまり、循環器内科に属する医師等のユーザによって公開される文書データの公開先候補の医療機関として、Xクリニック、S診療所及びZハートクリニックが登録されており、老年高血圧内科に属する医師等のユーザによって公開される文書データの公開先候補の医療機関として、Vクリニックが登録されている。公開先の医療機関を選択する場合、循環器内科に属するユーザは、Xクリニック、S診療所及びZハートクリニックの中から、公開先の医療機関を選択することになる。老年高血圧内科に属するユーザは、Vクリニックを公開先の医療機関として選択することになる。
以下、図6を参照して、アクセス制御情報について詳しく説明する。図6には、アクセス制御情報(ACL:Access Control List)の一例が示されている。アクセス制御情報は、公開元のユーザの指示に従って作成され、公開情報DB24に記憶される。公開元のグループ毎に異なるアクセス制御情報が作成される。公開元のグループの単位が診療科の場合、診療科毎に異なるアクセス制御情報が作成される。図6に示す例では、公開元の循環器内科に属するユーザによって、患者Pの公開対象の文書データとして、心臓CT画像38、手術記録情報40及び退院時要約情報42が指定され、公開先の医療機関として、XクリニックとS診療所が指定されている。これにより、循環器内科に属するユーザの指示に従って作成されたアクセス制御情報においては、患者Pの患者情報と、循環器内科の公開元情報と、公開対象の文書データ(心臓CT画像38、手術記録情報40及び退院時要約情報42)についての文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、が対応付けられる。また、公開元の老年高血圧内科に属するユーザによって、患者Pの公開対象の文書データとして、退院時要約情報42と検体検査報告書44が指定され、公開先の医療機関として、Vクリニックが指定されている。これにより、老年高血圧内科に属するユーザの指示に従って作成されたアクセス制御情報においては、患者Pの患者情報と、老年高血圧内科の公開元情報と、公開対象の文書データ(退院時要約情報42と検体検査報告書44)についての文書管理情報と、公開先の医療機関(Vクリニック)の公開先情報と、が対応付けられる。このように、循環器内科と老年高血圧内科とで、異なるアクセス制御情報が作成される。アクセス制御部28は、これらのアクセス制御情報を参照することにより、文書データに対する公開先の医療機関からのアクセスを制御する。
図7には、文書データとアクセス制御情報(ACL)との対応関係の一例が示されている。公開対象の文書データ毎にアクセス制御情報が作成され、文書データとアクセス制御情報とが対応付けられて公開情報DB24に記憶される。
例えば、心臓CT画像38と、その心臓CT画像38へのアクセスを制御するためのACL50と、が対応付けられて公開情報DB24に記憶される。ACL50は、患者Pの患者情報と、公開元の循環器内科の公開元情報と、心臓CT画像38の文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、を含む。
同様に、手術記録情報40と、その手術記録情報40へのアクセスを制御するためのACL52と、が対応付けられて公開情報DB24に記憶される。ACL52は、患者Pの患者情報と、公開元の循環器内科の公開元情報と、手術記録情報40の文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、を含む。
同様に、退院時要約情報42と、その退院時要約情報42へのアクセスを制御するためのACL54,56と、が対応付けられて公開情報DB24に記憶される。図4,6を参照して説明したように、退院時要約情報42は、循環器内科の医師と老年高血圧内科の医師の両方によって、公開対象の文書データとして指定されている。それ故、循環器内科用のACL54と老年高血圧内科用のACL56が作成される。ACL54は、患者Pの患者情報と、公開元の循環器内科の公開元情報と、退院時要約情報42の文書管理情報と、公開先の医療機関(XクリニックとS診療所)の公開先情報と、を含む。また、ACL56は、患者Pの患者情報と、公開元の老年高血圧内科の公開元情報と、退院時要約情報42の文書管理情報と、公開先の医療機関(Vクリニック)の公開先情報と、を含む。
なお、ACL54,56は同一のACLに含まれてもよい。この場合、1つのACL中において、ACL54が記述された部分には、循環器内科に属するユーザからのアクセスが許可され、その部分の変更が許可される。一方、1つのACL中において、ACL56が記述された部分には、老年高血圧内科に属するユーザからのアクセスが許可され、その部分の変更が許可される。
同様に、検体検査報告書44と、その検体検査報告書44へのアクセスを制御するためのACL58と、が対応付けられて公開情報DB24に記憶される。ACL58は、患者Pの患者情報と、公開元の老年高血圧内科の公開元情報と、検体検査報告書44の文書管理情報と、公開先の医療機関(Vクリニック)の公開先情報と、を含む。
以下、図8を参照して、医療情報管理システムにおける処理について詳しく説明する。図8には、その処理を示すシーケンス図が示されている。
まず、公開元のユーザが端末装置12を利用して医療情報管理装置10にログインする(S01)。例えば、循環器内科の医者Aが、循環器内科用のユーザIDとパスワードを利用して医療情報管理装置10にログインしたものとする。ログイン時の認証は、例えば、医療情報管理装置10の制御部26によって行われる。医療情報管理装置10に予め登録されているユーザID及びパスワードと、端末装置12から入力されたユーザID及びパスワードと、が一致した場合、ログインが許可される。それらが一致しない場合、ログインは許可されない。
次に、公開元のユーザ(循環器内科の医師A)が端末装置12を利用して、公開対象の文書データを指定する(S02)。例えば、医療情報DB18に記憶されている文書データの一覧が、端末装置12のUI部34に表示され、ユーザ(循環器内科の医師A)によって、その一覧の中から公開対象の文書データが指定される。
また、公開元のユーザ(循環器内科の医師A)が端末装置12を利用して、公開先を指定する(S03)。例えば、医療情報管理システムに登録されている医療機関群の中から公開先の医療機関が指定される。公開元のユーザが循環器内科の医者Aである場合、循環器内科に対応する公開先候補の医療機関群の中から公開先の医療機関が指定される。図5に示す例では、Xクリニック、S診療所及びZハートクリニックが、循環器内科に対応する公開先候補の医療機関として登録されている。例えば、公開先候補の医療機関の一覧が、端末装置12のUI部34に表示され、ユーザ(循環器内科の医師A)によって、その一覧の中から公開先の医療機関が指定される。
次に、公開元のユーザ(循環器内科の医師A)が端末装置12を利用して、文書データの公開を指示する(S04)。
医療情報管理装置10においては、アクセス制御情報作成部20がアクセス制御情報(ACL)を作成する(S05)。例えば図6に示すように、循環器内科の医者Aによって、公開対象の文書データとして、心臓CT画像38、手術記録情報40及び退院時要約情報42が指定され、各文書データについて、公開先の医療機関として、XクリニックとS診療所が指定されたものとする。この場合、アクセス制御情報作成部20は、心臓CT画像38用のアクセス制御情報と、手術記録情報40用のアクセス制御情報と、退院時要約情報42用のアクセス制御情報を作成する。例えば図7に示すように、心臓CT画像38用にACL50が作成され、手術記録情報40用にACL52が作成され、退院時要約情報42用にACL54が作成される。
公開処理部22は、公開対象の文書データと当該文書データについてのアクセス制御情報とを対応付けて公開情報DB24に記憶させる(S06)。
なお、老年高血圧内科の医師Cによって文書データが公開される場合も、上記と同様の処理が実行される。これにより、老年高血圧内科用のアクセス制御情報が作成される。例えば図6に示すように、老年高血圧内科の医師Cによって、公開対象の文書データとして、退院時要約情報42と検体検査報告書44が指定され、各文書データについて、公開先の医療機関として、Vクリニックが指定されたものとする。この場合、アクセス制御情報作成部20は、退院時要約情報42用のアクセス制御情報と、検体検査報告書44用のアクセス制御情報を作成する。例えば図7に示すように、退院時要約情報42用にACL56が作成され、検体検査報告書44用にACL58が作成される。
公開先のユーザが文書データにアクセスする場合、公開先のユーザは端末装置14を利用して医療情報管理装置10にログインする(S07)。例えば、Xクリニックの医師Yが、ユーザIDとパスワードを利用して医療情報管理装置10にログインしたものとする。ログイン時の認証は、例えば、医療情報管理装置10の制御部26によって行われる。医療情報管理装置10に予め登録されているユーザID及びパスワードと、端末装置14から入力されたユーザID及びパスワードと、が一致した場合、ログインが許可される。それらが一致しない場合、ログインは許可されない。
次に、公開先のユーザ(Xクリニックの医師Y)は端末装置14を利用して、当該ユーザに対して閲覧が許可された文書データのリストを要求する(S08)。このとき、公開先情報が端末装置14から医療情報管理装置10に送信される。この公開先情報には、Xクリニックを識別するための医療機関識別情報(例えば、Xクリニックの名称やID)が含まれる。
医療情報管理装置10においては、アクセス制御部28が、公開情報DB24に記憶されているアクセス制御情報(ACL)を解釈する(S09)。これにより、アクセス制御部28は、公開先のユーザ(Xクリニックの医師Y)に対して閲覧が許可された文書データを特定する。具体的には、アクセス制御部28は、端末装置14から送信された医療機関識別情報を公開先情報として含むアクセス制御情報を参照し、その医療機関識別情報に対応付けられている文書データを、公開先のユーザに対して閲覧が許可された文書データとして特定する。次に、アクセス制御部28は、公開先のユーザに対して閲覧が許可された文書データのリストのデータを端末装置14に送信する(S10)。端末装置14のUI部34には、閲覧が許可された文書データのリストが表示される(S11)。
例えば図6に示すように、Xクリニックに対しては、心臓CT画像38、手術記録情報40及び退院時要約情報42が公開されている。従って、心臓CT画像38、手術記録情報40及び退院時要約情報42へのアクセスが許可される。この場合、アクセス制御部28は、Xクリニックへの公開が許可された文書データのリストのデータを端末装置14に送信する。これにより、Xクリニックの端末装置14のUI部34には、心臓CT画像38、手術記録情報40及び退院時要約情報42のリストが表示される。
次に、公開先のユーザ(Xクリニックの医師Y)は端末装置14を利用して、UI部34に表示されている文書データのリストの中から取得対象の文書データを指定し、その文書データの取得を要求する(S12)。これにより、ユーザによって指定された文書データを識別するための情報が、端末装置14から医療情報管理装置10に送信される。
医療情報管理装置10においては、アクセス制御部28が、ユーザによって指定された取得対象の文書データを公開情報DB24から取得し、その文書データを端末装置14に送信する(S13)。端末装置14においては、UI部34に、その文書データが表示される(S14)。
例えば、Xクリニックの医師Yによって心臓CT画像38が指定された場合、心臓CT画像38のデータ(文書データ)が、医療情報管理装置10から端末装置14に送信され、端末装置14のUI部34に心臓CT画像38が表示される。
なお、S診療所の医師TやVクリニックの医師Wが公開先のユーザの場合であっても、上記と同様の処理が実行される。例えば、S診療所の医師Tによって文書データの取得が要求された場合、端末装置14のUI部34には、閲覧が許可された文書データのリストとして、心臓CT画像38、手術記録情報40及び退院時要約情報42のリストが表示される。Vクリニックの医師Wによって文書データの取得が要求された場合、端末装置14のUI部34には、閲覧が許可された文書データのリストとして、退院時要約情報42と検体検査報告書44のリストが表示される。
以上のように、本実施形態では、公開元のグループ毎に異なるアクセス制御情報が生成され、そのアクセス制御情報に基づいて文書データへのアクセスが制御される。アクセス制御情報はグループ毎に個別的に管理され、自身のグループによって設定されたアクセス制御情報への他のグループからのアクセスが禁止される。これにより、自身のグループによって設定されたアクセス制御情報は、他のグループによって変更されない。それ故、文書データの公開元のグループ毎に、当該文書データへのアクセス制御が実現される。
例えば、自身の診療科に属する医師によって設定されたアクセス制御情報は、他の診療科に属する医師によって変更されない。これにより、文書データの公開元の診療科毎に、当該文書データへのアクセス制御が実現される。例えば、同一病院内において各診療科が独立している場合において、同一の医療情報管理システムを利用した場合であっても、文書データに対するアクセス制御について、各診療科の独立性が担保される。
なお、上記の例では、診療科が公開元のグループであり、個々の診療科毎にアクセス制御情報が作成されているが、公開元のグループが医療機関やエリア等であっても、診療科と同様に、文書データに対するアクセス制御について、個々のグループ毎の独立性が担保される。例えば、複数の医療機関が公開元のグループとして医療情報管理システムに登録されている場合、個々の医療機関毎にアクセス制御情報が作成され、自身の医療機関によって設定されたアクセス制御情報は、他の医療機関によって変更されない。これにより、同一の医療情報管理システムを利用した場合であっても、文書データに対するアクセス制御について、各医療機関の独立性が担保される。
公開元のグループが医療機関やエリアの場合、本実施形態に係る医療情報管理システムは、地域医療に適用されることが想定される。この場合、本実施形態に係る医療情報管理システムを利用することにより、地域医療において医療情報に対するアクセス制御が実現される。
本実施形態によると、文書データ自体を更新せずにアクセス制御情報を更新することにより、文書データへのアクセス制御が変更される。例えば、複数の公開元のグループが、同一の文書データについて、各グループの都合に合わせてアクセス制御を設定する場合、文書データ自体を更新せずに、各グループの都合に合わせてアクセス制御情報を作成又は更新すれば済む。
以下、変形例について説明する。医療情報DB18に記憶されている文書データに対して公開処理を適用する場合に、デフォルト公開文書種というテンプレートを利用してもよい。デフォルト公開文書種は、公開対象の文書データの種別であり、テンプレートには、その種別が示されている。例えば、公開元のグループに属するユーザが医療情報管理装置10にログインし、公開処理の適用を指示すると、アクセス制御情報作成部20は、テンプレートを参照することにより、公開対象の文書データの種別を特定し、デフォルト公開文書種に該当する文書データを公開対象として扱う。文書データの文書管理情報には、文書種を示す文書種コードが含まれている。その文書種コードを参照することにより、文書データの種別が特定される。公開元のグループについてのアクセス制御情報には、デフォルト公開文書種に該当する文書データの文書管理情報と、公開元のグループに属するユーザによって指定された公開先の公開先情報と、が含まれる。これにより、デフォルト公開文書種に該当する文書データへの公開先からのアクセスが許可される。例えば、デフォルト公開文書種が電子カルテの場合、電子カルテが公開対象として扱われる。デフォルト公開文書種を利用することにより、それを用いない場合と比較して、公開処理に関するユーザの作業が容易になる。さらに、例えばデフォルト公開文書種に「検査記録に分類される文書」を設定しておいた場合、血液検査、胃部内視鏡検査、胸部レントゲン検査、等の検査記録の文書が、公開対象として扱われる。
別の変形例として、医療情報DB18に将来登録される文書データに対して公開処理を適用する場合に、自動公開文書種というテンプレートを利用してもよい。自動公開文書種は、公開対象の文書データの種別であり、テンプレートには、その種別が示されている。新たに文書データが医療情報DB18に記憶されると、アクセス制御情報作成部20は、テンプレートを参照することにより、公開対象の文書データの種別を特定する。新たに登録された文書データの種別が公開文書種に該当する場合、アクセス制御情報作成部20は、その文書データを公開対象として扱う。この場合、アクセス制御情報には、その文書データの文書管理情報が含まれる。自動公開文書種を利用することにより、それを利用しない場合と比較して、公開処理に関するユーザの作業が容易になる。
また、文書データの公開期間が設定されてもよい。公開期間は、公開先から文書データへのアクセスが許可される期間である。アクセス制御部28は、その公開期間中における公開先から文書データへのアクセスを許可し、公開期間外における公開先から文書データへのアクセスを禁止する。公開期間を示す情報はアクセス制御情報に含まれる。アクセス制御部28は、その情報を参照することにより、公開期間によるアクセスを制御する。これにより、公開期間が過ぎれば文書データへのアクセスが自動的に禁止され、公開元のユーザが公開停止作業を行わなくて済む。
本実施形態では、公開元のグループ、公開対象の文書データ、及び、公開先における状態の中の少なくとも1つが変更された場合、その変更に関わるアクセス制御情報が更新される、又は、新たなアクセス制御情報が作成される。例えば、文書データの公開フラグ、公開期間、公開先(医療機関、診療科、エリア等)、公開元のグループにて公開が許可された公開先、公開先施設マスター、自動公開文書種、自動公開期間、公開元のグループにおけるデフォルト公開文書種、公開元のグループにて公開が許可された文書種、定義済み文書種、診療科、患者やユーザ、文書データ、文書データの版、文書データの公開タグ、文書種別、等の状態が変更された場合、その状態変更に関わるアクセス制御情報が更新される、又は、新たなアクセス制御情報が作成される。上記の状態変更に関わらない他のアクセス情報は影響を受けず、その状態変更に伴って更新されない。つまり、個々のアクセス制御情報は他のアクセス情報から独立しており、あるアクセス制御情報に関わる状態が変更された場合であっても、他のアクセス制御情報は影響を受けず、その状態変更に伴って更新されない。
なお、文書データの公開を停止する場合、公開停止対象の文書データを公開情報DB24から削除し、その文書データに対応付けられているアクセス制御情報を公開情報DB24に残しておいてもよい。これにより、公開停止対象の文書データの漏洩が防止されるとともに、公開先に対して、アクセス制御に関する情報が提供され得る。
上記の医療情報管理装置10は、一例としてハードウェア資源とソフトウェアとの協働により実現される。具体的には、医療情報管理装置10は、図示しないCPU等のプロセッサを備えている。当該プロセッサが、図示しない記憶装置に記憶されたプログラムを読み出して実行することにより、医療情報管理装置10の各部の機能が実現される。上記プログラムは、CDやDVD等の記録媒体を経由して、又は、ネットワーク等の通信経路を経由して、記憶装置に記憶される。または、医療情報管理装置10の各部は、例えばプロセッサや電子回路等のハードウェア資源により実現されてもよい。その実現においてメモリ等のデバイスが利用されてもよい。別の例として、医療情報管理装置10の各部は、DSP(Digital Signal Processor)やFPGA(Field Programmable Gate Array)等によって実現されてもよい。